csapp attack lab level5

做完了第一个ROP来看看第二个,当然这个显然很难。
csapp attack lab level5
显然这个和touch3一样,但是无法注入,所以只能用ret来连接gadget,我刚开始看第一个建议很疑惑,为啥要复习movl。直到我从farm这个函数反汇编后所能用到的指令真是少的可怜。如图类似grep抓取关键字然后对照下图表发现能用的指令太少了,
csapp attack lab level5
根据相关表的抓取符合条件的指令。
csapp attack lab level5
然后总结所有能用的指令
csapp attack lab level5
所以要用这几个指令来完成这个实验,最关键的是lea(%rdi,%rsi,1),%rax
因为开启了栈地址随机化,而存储字符串的地址不能确定,当然我们可以想到用 %rdi=%rsp+偏移地址表示字符串的地址。(lea(%rdi,%rsi,1),%rax这条指令确定的,即然这样rsi存储偏移地址)
这条指令是farm.c
csapp attack lab level5
这个唯一一个没有以val命名的函数。
lea(%rdi,%rsi,1),%rax 意思是 %rax = %rdi + %rsi.
对此
1.rdi寄存器内容为rsp的地址。
2.rsi内容为偏移地址的值
3.在执行movq %rax,%rdi即可获得rdi=rsp+偏移量
如图可视
这是我写的整个过程
csapp attack lab level5
因为farm反汇编指令没有movq %rax,%rsi这条指令,所以只能用movl eax…
当时我一直以为偏移量是80个字节,当时一直报错,我在仔细看了看,第一条指令是返回地址的不算栈顶,只有从第二条指令到字符串之前这才是72个字节即0x48
最后编写
csapp attack lab level5
成功
csapp attack lab level5

上一篇:《CSAPP》实验一:位操作


下一篇:CSAPP阅读笔记-虚拟内存-寻址和内存映射-来自第九章9.1-9.8的笔记-P559-P586